Switch Role（スイッチロール）とは Switch Role（スイッチロール）とは、AWSマネジメントコンソールを使って操作するときやそのコマンドライン版であるAWS CLIのコマンドを実行するときに使われるIAMユーザーの権限を、別のIAMロールが持つ権限に一時的に置き換えられる機能です。 Switch Roleを使うことで、大事な顧客データが入ったデータベースやストレージに対して、普段はリードオンリーの権限を持たせておき、必要なときに一時的にフルアクセスの権限を持たせるといった運用ができます。 また、別のAWSアカウントにあるIAMロールにSwitch Roleすることもでき、この場合、別のAWSアカウントにあるAWSリソースを操作できます。 たとえば、普段は開発用のAWSアカウントを使い、デプロイするときに一時的に本番用のAWS アカウントにアクセスできるようにするといった運用ができます。さらに、同じAWSアカウントにあるIAMロールに対してSwitch Roleをすることもできます。

Switch Roleしたときの権限を設定する

Switch Roleしたときの権限を持つIAMロールを作る

ユーザーにSwitch Roleできる権限を与える

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": [
                "arn:aws:iam::222256789012:role/S3ReadOnly"
            ]
        }
    ]
}

AWS CLIの設定をする

~/.aws/config ファイルの設定

[profile 222256789012-S3ReadOnly]
role_arn = arn:aws:iam::222256789012:role/S3ReadOnly
credential_source = Ec2InstanceMetadata

EC2外のAWS CLIの場合

変更前： credential_source = Ec2InstanceMetadata
変更後： source_profile = default

AWS CLIでSwitch Roleする

Switch Roleする

export AWS_PROFILE=222256789012-S3ReadOnly

aws s3 ls  # AWS CLI コマンドの例

Switch Roleした状態から戻す

export AWS_PROFILE=
または
unset AWS_PROFILE

一時的にSwitch Roleしてコマンドを実行する

aws s3 ls --profile 222256789012-S3ReadOnly  # AWS CLI コマンドの例

Switch Roleを使いこなして安心して作業しよう

この記事の監修者・著者

株式会社オープンアップITエンジニアAWSパートナー/Salesforce認定コンサルティングパートナー 認定企業

ITエンジニア派遣サービス事業を行っています。AWSやSalesforceなど専門領域に特化したITエンジニアが4,715名在籍し、常時100名以上のITエンジニアの即日派遣が可能です。

・2021年：AWS Japan Certification Award 2020 ライジングスター of the Year 受賞
・2022年3月：人材サービス型 AWSパートナー認定
・AWS認定資格保有者数1,154名（2024年6月現在）
・Salesforce認定コンサルティングパートナー
・Salesforce認定資格者276名在籍（2024年5月現在）
・LPIC＋CCNA 認定資格者：472 名（2024年6月時点）

最新の投稿

• 2024-12-27営業インタビュー情報共有の活性化の中心に。SP企画部の新たな取り組み
• 2024-07-01営業インタビュー最短で当日にご提案可能。 OPE営業の対応が早い3つの理由
• 2024-07-01営業インタビュー研修見学ツアーが高評価！「お客様のOPEに対する期待を高め、継続に貢献できればと思います。」
• 2024-07-01営業インタビュー信頼関係を構築し、エンジニアの長期就業へ